Seguridad I

Unidad 3. Seguridad de las comunicaciones

Ingeniera en Telemtica

6 cuatrimestre

Antologa de estudio

Seguridad I Unidad 3. Seguridad de las comunicaciones

Universidad Abierta y a Distancia de Mxico

Ciencias Exactas Ingeniera y Tecnologa | Ingeniera en Telemtica

Seguridad I
Unidad 3. Seguridad de las comunicaciones
Unidad 3. Seguridad de las comunicaciones Presentacin de la unidad
Los datos en la empresas es el activo ms importante, la seguridad de los sistemas permite que la informacin sea o no confiable, la actualizacin se da da a da, su gestin ayuda a saber si se tiene que innovar la tecnologa, modificarla o darle simplemente mantenimiento; las TI es un trmino que comprende todas las formas de tecnologa empleadas para crear, almacenar, intercambiar y usar informacin en sus formas variadas (datos de negocios, conversaciones de voz, imgenes fijas o en movimiento, presentaciones multimedia y otras formas, incluyendo aquellas que aun no se han concebido). La presente unidad te mostrar pautas para la tomar de decisiones para la seleccionar un software de seguridad segn el tipo de organizacin donde te desempees. Para una organizacin lo ms importante es mantener sus datos a salvo, por lo cual es necesario generar polticas de seguridad, las cuales se establecern y se tienen que poner en prctica y al mismo tiempo hay que hacerle un seguimiento y garantizar que estn actualizadas y por supuesto suprimir aquellas que perdieron vigencia, hay que concientizar a los usuarios de la importancia de las polticas y conseguir que las sigan, adems de divulgarlas. Es necesario contar con un plan de contingencias o plan de desastres, el cual implica realizar un anlisis de los posibles riesgos a los cuales pueden estar expuestos los equipos de cmputo y la informacin contenida en los diversos medios de almacenamiento. Al mismo tiempo podrs generar procedimientos para el anlisis para determinar el grado de vulnerabilidad con base a diferentes herramientas, por lo cual desarrollars un grado esencial de observacin e investigacin para tomar las mejores decisiones. Todas estas acciones ayudarn a mantener un entorno seguro en cuanto a las tecnologas de informacin, pero si no comprendemos que la importancia de la gente que da a da hace uso de ellas, y se les demuestra que lo ms importante es su apoyo, ninguna de estas acciones lograr cumplir su fin, que es el de mantener segura la informacin.

Propsitos
Al trmino de la unidad podrs: Determinar la vulnerabilidad de una red en una organizacin. En base a un anlisis de vulnerabilidad, clasificar los elementos maliciosos.

Ciencias Exactas Ingeniera y Tecnologa | Ingeniera en Telemtica

Seguridad I
Unidad 1. Seguridad Informtica
Analizar el riesgo dentro de las comunicaciones a partir de herramientas de seguridad en las organizaciones.

Competencia especfica(s)
Diagnosticar la seguridad en los medios y dispositivos para mantener o incrementar la confiabilidad en la transmisin de la informacin mediante la identificacin de los elementos maliciosos y los elementos de seguridad

Temario de la unidad
Unidad 3. Seguridad Informtica 3.1. Cdigo malicioso 3.1.1. Virus, Gusanos, Troyanos, Puertas falsas 3.1.2. Bombas lgicas, Traps, Spyware 3.2. Seguridad en los componentes de redes e Internet 3.2.1. Vulnerabilidades de software, SQL, Cross Site Scripting, Buffer Overflow 3.2.2. Sniffing, Scanning, Spoofing, Flooding, DOS, DDOS, Firewall y proxy 3.3. Herramientas de seguridad 3.3.1. Ataques 3.3.2. Defensa 3.3.3. Anlisis de riesgos

Materiales de estudio
3.1. Cdigo Malicioso 3.1.1. Virus, Gusanos, Troyanos, Puertas falsas 3.1.2. Bombas lgicas, Traps, Spyware 1. Virus y programas maliciosos Instituto Nacional de Tecnologa de la comunicacin (s/d). Virus y programas maliciosos, ITENCO, Espaa; retomado de http://cert.inteco.es/Formacion/Amenazas/Virus/ Resumen: Temas 3.1.1. y 3.1.2. Introduccin a los programas maliciosos, cmo es que alteran los sistemas operativos y por qu su creacin. Menciona los tipos de virus ya sea por su capacidad de programacin o por las acciones que genera en el equipo, data una lista de programas no recomendables y sus funciones principales. Ciencias Exactas Ingeniera y Tecnologa | Ingeniera en Telemtica 2

Seguridad I
Unidad 1. Seguridad Informtica
2. Defensa en profundidad contra software malintencionado Seguridad y tecnologa de la Informtica (s/d). Defensa en profundidad contra software malintencionado. Hispasec Espaa; retomado de http://www.google.com.mx/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=17&cad=rj a&ved=0CFAQFjAGOAo&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2 Fc%2Ff%2F4%2Fcf47d3c5-79df-4f7d-8262cbcc55e03266%2FHispasec_DefensaVirus.ppt&ei=4xEUOG4J6eA2gXxxYCQCQ&usg=AFQjCNFWh9m5CfPHHWdNuXW1yJptKVnlbA http://www.hispasec.com/

Resumen: Temas 3.1.1 y 3.1.2. Esta presentacin muestra los tipos y caractersticas del software malicioso, nomenclatura, tcnicas comunes empleadas por soluciones de antivirus, limitaciones de los antivirus, elecciones de los antivirus, defensa de las organizaciones y entornos corporativos contra el software malicioso.

3.2. Seguridad en los componentes de redes e Internet 3.2.1. Vulnerabilidades de software, SQL, Cross Site Scripting, Buffer Overflow 3.2.2. Sniffing, Scanning, Spoofing, Flooding, DOS, DDOS, Firewall y proxy

3. Ataque a aplicaciones a base de datos Martnez, Fallo Esteban (2007). Ataque a aplicaciones a base de datos, Argentina. Retomado de: http://www.argeniss.com/research/OracleSecurity.pdf Resumen: Tema 3.2.1 El documento muestra una introduccin a la seguridad de las base de datos la importancia de la seguridad de las aplicaciones web, cuales son las vulnerabilidades de SQL Injection en las aplicaciones web, algunas herramientas de demostracin y como protegerse.

4. Inyeccin de cdigo SQL en MS SQL Server 2005 Puerta Aka, MXchain, Fco. (2010). Inyeccin de cdigo SQL en MS SQL Server 2005. Hacktimees.com. Retomado de: http://www.hacktimes.com/files/Inyeccion-SQL-enMSSQL-HackTimes.com.pdf Resumen: Ciencias Exactas Ingeniera y Tecnologa | Ingeniera en Telemtica 3

Seguridad I
Unidad 1. Seguridad Informtica
Tema 3.2.1 El contenido especfico que se sugiere est en la primer pgina y se ha decidido dejar el contenido anexo pues muestra informacin que te puede ser de ayuda y que tambin est relacionada con el tema de estudio, pues presenta las vulnerabilidades de inyeccin de cdigo de SQL, centrndose en motores de base de datos, presenta algunos ejemplos de utilizando algunas aplicaciones de HTTP y GET, su principal objetivo es concientizar a los desarrolladores de las vulnerabilidades y de la explotacin de las mismas.

5. Cross Site Scripting Attack Acunetix. (2012). Cross Site Scripting Attack (USA). Retomado de http://www.acunetix.com/websitesecurity/cross-site-scripting.htm Resumen: Tema 3.2.1. El documento habla de los ataques a las aplicaciones web, y la variedad de usuarios as como los cdigos con los que se trabaja, te explica como Cross Site Scripting permite que un atacante malicioso para incrustar JavaScript, VBScript, ActiveX, HTML o Flash en una pgina dinmica vulnerable para engaar al usuario, ejecutar la secuencia de comandos en su equipo con el fin de recopilar datos. 6. Buffer overflows y vulnerabilidades de strings de formato Buffer overflows y vulnerabilidades de strings de formato (2012). Traduccin. Catalunya: Departamento de arquitectura de computadoras. Universidad Politcnica de Catalunya Retomado de http://docencia.ac.upc.es/FIB/CASO/seminaris/1q0304/M12.pdf Resumen: Tema 3.2.1. El documento habla de Buffer overflow y sus vulnerabilidades, menciona la corrupcin de la pila y que es lo que lo provoca y de los strings de formato.

7. Buffer overflows Material disponible slo en hipervnculo Navarro, Celemente, lvaro. (2005). Buffer overflows. Mosteles: Universidad Rey Juan Carlos. Retomado de http://gsyc.escet.urjc.es/~anavarro/papers/bufferoverflow.pdf Resumen:

Ciencias Exactas Ingeniera y Tecnologa | Ingeniera en Telemtica

Seguridad I
Unidad 1. Seguridad Informtica
Tema 3.2.1. Habla de de cmo los sistemas operativos asignan a cada programa un fragmento de memoria y el cmo este puede ser corrompido, habla de los diferentes ataques y sus comportamientos.

8. Material disponible slo en hipervnculo Glosario. (s/d). Herramientas de seguridad informtica. Control de acceso. Extracto de Tutorial de seguridad informtica, UNAM. Mxico: UNAM. Retomado de http://redyseguridad.fi-p.unam.mx:8080/Segu/contenido/index.jsp Resumen: Tema 3.2.1. Presenta un glosario de las herramientas existentes para informtica, control de acceso, confidencialidad, autentificacin, disponibilidad e integridad. 9. Estudio de una plataforma de deteccin de intrusos Open Source La seguridad vista tras los ojos del hacker. (s/d) ttp://houdinihck.netai.net/Lecciones/La%20Seguridad%20Vista%20tras%20los%20Ojos%20del%20H acker.pdf

3.2. Herramientas de Seguridad 3.3.1. Ataques 3.3.2. Defensa 3.3.3. Anlisis de riesgos

10. Ataques informticos Mieres, Jorge (2009). Ataques informticos. Debilidades de seguridad comnmente explotadas. (pp. 7-15). Retomado de https://www.evilfingers.com/ Resumen: Tema 3.3.1. 3.3.2 .y 3.3.3. El documento trata de los ataque informticos ms suscitado por las vulnerabilidades informticas. Muestra las fases de seguridad, cdigos maliciosos, as como el tipo de contraseas que son comnmente atacadas y las desventajas de la configuracin predeterminada.

11. Proteccin Borghello, Cristian. (2009) Proteccin. Argentina. Retomado de: http://www.seguinfo.com.ar/proteccion/proteccion.htm

Ciencias Exactas Ingeniera y Tecnologa | Ingeniera en Telemtica

Seguridad I
Unidad 1. Seguridad Informtica
Resumen: Tema 3.3.1. 3.3.2 .y 3.3.3. Presenta herramientas, con las cuales puedes mantener seguros los sistemas como: Firewalls, Control de accesos, Wrappers, deteccin de intrusos en tiempo real, Sistemas Anti-Sniffers, Gestin de claves, Seguridad en protocolos y servicios.

Ciencias Exactas Ingeniera y Tecnologa | Ingeniera en Telemtica

Seguridad I
Unidad 1. Seguridad Informtica
Cierre de la unidad
Para evitar incidentes asociados a la seguridad informtica resulta vital el conocimiento de las vulnerabilidades a las que se est expuesto, as como emprender acciones y estrategias para minimizar los riesgos. Con el uso masivo de las tecnologas de la informacin y las comunicaciones, al terminar esta unidad aprenders a reconocer la problemtica de Seguridad de sistemas que afecta a las organizaciones; podrs realizar propuestas de mejora polticas de seguridad y/o aplicar normatividades. Como responsable de seguridad tendrs la oportunidad de: Identificar las amenazas, vulnerabilidades y riesgos en las organizaciones. Identificar las situaciones de una red o un equipo que facilitan la penetracin de intrusos y los mtodos de ataque que emplean los hackers. Analizar las condiciones de seguridad que imponen a las organizaciones los nuevos entornos de trabajo, tales como Internet, acceso remoto y Implantar las medidas de seguridad para defenderse

Fuentes de consulta complementaria

Corpocesar (2006). Polticas de seguridad informtica Colombia:, Retomado de: http://www.corpocesar.gov.co/files/POLITICA%20DE%20SEGURIDAD.pdf Enguita Gonzlez Jos Mara (2006). Tema8 Seguridad en las comunicaciones (Espaa), Retomado de: http://isa.uniovi.es/docencia/redes/Apuntes/tema8.pdf

ONTI (2003). Modelo de Poltica de Seguridad de la Informacin para Organismos

de la Administracin Pblica Nacional. Retomado de: http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf Universidad Nacional de Colombia (2003). Gua de elaboracin de polticas de seguridad. Colombia: Universidad Nacional de Colombia. Vicerrectora General Direccin Nacional de Informtica y comunicaciones. Retomado de: http://api.ning.com/files/u2gdYg06meFYaRrQcaCxfptLmTGcy2B8wrTgigBnj7JnOK qK3ya3pQkNHSxKqyYBdFWd0WaYHhFvTBKv9bkG8b921Boq3f*/guia_para_elaborar_politicas_v1_0.pdf

Ciencias Exactas Ingeniera y Tecnologa | Ingeniera en Telemtica